TenDI (Tencent) CAPTCHA
i CapMonster Cloud

Rozwiązywanie captchy, instalacja na stronie i testowanie.

Odziedziczyłeś stronę z już wdrożoną captchą lub ochroną, ale bez dostępu do kodu źródłowego? Naturalnie pojawia się pytanie, jaka technologia jest używana, czy działa poprawnie i jak ją przetestować.

W tym artykule staraliśmy się odpowiedzieć na wszystkie najważniejsze pytania. Pierwszym krokiem w rozwiązywaniu problemu jest ustalenie, jaki system ochrony jest używany. W tym celu możesz skorzystać z listy popularnych captcha i systemów ochrony antybotowej, gdzie znajdziesz przykłady graficzne oraz kluczowe cechy, które pomogą szybko rozpoznać, z czym masz do czynienia.

Jeśli okaże się, że na Twojej stronie używany jest TenDI (Tencent), kolejnym krokiem będzie dokładniejsze poznanie jej właściwości i sposobu działania. W tym artykule możesz również zapoznać się z instrukcją integracji systemu TenDI (Tencent), aby w pełni zrozumieć, jak funkcjonuje on na Twojej stronie. Dzięki temu nie tylko lepiej poznasz obecną ochronę, ale też świadomie zaplanujesz jej dalsze utrzymanie.

Czym jest TenDI CAPTCHA

TenDI (Tencent) CAPTCHA to wielopoziomowy system ochrony przed botami. Analizuje zachowanie użytkownika i stosuje specjalne mechanizmy, aby sprawdzić, czy odwiedzający stronę jest człowiekiem. Stosowany do ochrony rejestracji, logowania, kampanii marketingowych oraz zapobiegania spamu i kradzieży danych.

Przykłady TenDI (Tencent)

Non-perception CAPTCHA

Weryfikacja odbywa się automatycznie, bez udziału użytkownika. Idealne w scenariuszach, gdzie wygoda jest kluczowa.

Slider CAPTCHA

Szybka i prosta weryfikacja przez przesunięcie suwaka. Nadaje się w większości przypadków.

Graphic CAPTCHA

Użytkownik kolejno klika elementy obrazu. Stosowane w scenariuszach o wysokim poziomie bezpieczeństwa.

Audio CAPTCHA

Weryfikacja za pomocą nagrania audio. Optymalne dla użytkowników z ograniczeniami.

Smart Verification

System ocenia zachowanie użytkownika: zaufanych przepuszcza od razu, podejrzanych dodatkowo weryfikuje.

Multi-dimensional Defense

Stosowane są różne mechanizmy ochronne: szyfrowanie dynamiczne, anty-bot i inne.

Jak rozwiązać Tencent CAPTCHA przez CapMonster Cloud

Podczas testowania formularzy z Tencent CAPTCHA często trzeba sprawdzić, czy captcha działa poprawnie i jest prawidłowo zintegrowana.

Możesz ręcznie przetestować captcha na swojej stronie:

Otwórz stronę z formularzem i upewnij się, że captcha się wyświetla.
Spróbuj wysłać formularz bez jej rozwiązania — serwer powinien zwrócić błąd.
Po prawidłowym rozwiązaniu captchy formularz powinien zostać wysłany bez błędów.

Do automatycznego rozpoznawania captchy można użyć specjalistycznych usług, np. CapMonster Cloud — narzędzia, które przyjmuje parametry captchy, przetwarza je na swoich serwerach i zwraca gotowy token. Token można wstawić do formularza, aby przejść weryfikację bez udziału użytkownika.

Praca z CapMonster Cloud poprzez API zazwyczaj obejmuje następujące kroki:

Tworzenie zadania

Na tym etapie przesyłasz klucz API, typ captchy i jej parametry. Serwis zwraca unikalny taskId, po którym później można pobrać wynik.

Wysyłanie żądania API

W żądaniu do rozwiązania Tencent CAPTCHA należy podać następujące parametry:

type - CustomTask

class - TenDI

websiteURL - Adres strony, na której captcha jest rozwiązywana.

websiteKey - captchaAppId. Na przykład "websiteKey": "189123456" — unikalny parametr dla twojej strony

captchaUrl (w metadata) - Link do skryptu z captchą. Zazwyczaj kończy się na TCaptcha.js lub TCaptcha-global.js;

websiteURL - Adres strony, na której captcha jest rozwiązywana;

userAgent (opcjonalnie) - User-Agent przeglądarki. Przesyłaj tylko aktualny UA z Windows.

Więcej o parametrach i ich automatycznym pozyskiwaniu znajdziesz w dokumentacji CapMonster Cloud.

Adres do wysyłania zadań:

https://api.capmonster.cloud/createTask

Przykład żądania:


{
  "clientKey": "API_KEY",
  "task": {
    "type": "CustomTask",
    "class": "TenDI",
    "websiteURL": "https://example.com",
    "websiteKey": "189123456",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/144.0.0.0 Safari/537.36",
    "metadata": {
      "captchaUrl": "https://global.captcha.example.com/TCaptcha-global.js"
    }
  }
}

Odpowiedź:

{
  "errorId":0,
  "taskId":407533072
}

Odebranie wyniku

Po utworzeniu zadania regularnie sprawdzaj status rozwiązania.

Adres do otrzymania wyniku:

https://api.capmonster.cloud/getTaskResult

Przykład żądania:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Odpowiedź:

{
	"errorId":0,
	"status":"ready",
	"solution": {
	   "data": {
			"randstr": "@EcL",
			"ticket": "tr03lHUhdnuW3neJZu.....7LrIbs*"
		},
		"headers": {
			"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/144.0.0.0 Safari/537.36"
		}
	}
}

Umieszczenie tokenu na stronie

Otrzymany token można wstawić do ukrytego pola formularza lub wywołać funkcję JS na stronie w celu potwierdzenia rozwiązania. Następnie serwer przyjmie formularz jako poprawnie wypełniony. Do automatyzacji i testów wygodne jest użycie Puppeteer, Selenium lub Playwright, które pozwalają emulować działania użytkownika, wstawiać tokeny i wysyłać formularze.

Rozpoznawanie TenDI (Tencent) CAPTCHA przy użyciu gotowych bibliotek

Serwis CapMonster Cloud udostępnia gotowe biblioteki do wygodnej pracy w Python, JavaScript (Node.js) i C#.

Python

JavaScript

Rozwiązanie, wstawianie tokena i wysyłanie formularza

Przykład w Node.js dla pełnego cyklu rozpoznawania captchy na twojej stronie. Możliwe podejścia: użyć żądań HTTP do pobrania HTML i parametrów systemu ochrony, wysłać odpowiedź i przetworzyć wynik. Lub jak w przykładzie poniżej, za pomocą narzędzi automatyzacji (np. Playwright) — otworzyć stronę, poczekać na weryfikację, wysłać parametry przez klienta CapMonster Cloud, otrzymać wynik, wstawić token do formularza (do testów można użyć prawidłowych lub nieprawidłowych danych) i zobaczyć wynik.


// npx playwright install chromium

import { chromium } from 'playwright';
import { CapMonsterCloudClientFactory, ClientOptions, TenDIRequest } from '@zennolab_com/capmonstercloud-client';

// Zamień na własne wartości
const API_KEY = "YOUR_API_KEY";         
const WEBSITE_URL = "https://example.com";

async function solveTenDIOnPage() {
    const browser = await chromium.launch({ headless: false });
    const context = await browser.newContext();
    const page = await context.newPage();

    // 1. Otwieramy stronę
    await page.goto(WEBSITE_URL, { waitUntil: 'networkidle' });

    // 2. Czekamy na pojawienie się captchy (np. input lub iframe)
    await page.waitForSelector('#tendi_response, iframe[src*="tendi"], input[name="tendi_response"]', { timeout: 15000 });

    // Jeśli trzeba, można pobrać websiteKey ze strony
    const WEBSITE_KEY = await page.evaluate(() => {
        // Przykład: sitekey może być w atrybucie data lub zmiennej globalnej
        const el = document.querySelector('#tendi_response') || document.querySelector('div[data-sitekey]');
        return el?.getAttribute('data-sitekey') || window.TenDI_siteKey || "183268248";
    });

    console.log("Website key detected:", WEBSITE_KEY);

    const client = CapMonsterCloudClientFactory.Create(
        new ClientOptions({ clientKey: API_KEY })
    );

    // 3. Tworzymy zadanie TenDI
    const tenDIRequest = new TenDIRequest({
        websiteURL: page.url(),
        websiteKey: WEBSITE_KEY,
    });

    const balance = await client.getBalance();
    console.log("Balance:", balance);

    // 4. Rozwiązujemy captchę
    const solution = await client.Solve(tenDIRequest);
    console.log("Solution:", solution);

    const { ticket, randstr } = solution.solution.data;

    // 5. Sposoby wstawienia wyniku
    await page.evaluate(({ ticket, randstr }) => {
        // Wstawienie do input
        const inputSelectors = ['#tendi_response', 'input[name="tendi_response"]', 'input[type="hidden"]'];
        let inserted = false;
        for (const sel of inputSelectors) {
            const input = document.querySelector(sel);
            if (input) {
                input.value = ticket;
                input.dispatchEvent(new Event('input', { bubbles: true }));
                const form = input.closest('form');
                if (form) form.submit();
                inserted = true;
                break;
            }
        }

        // Funkcja callback JS
        if (typeof window.onCaptchaSolved === 'function') {
            window.onCaptchaSolved(ticket, randstr);
            inserted = true;
        }

        // Jeśli nie ma input ani callback
        if (!inserted) {
            window._tenDITicket = ticket;
            window._tenDIRandStr = randstr;
            console.log("Ticket and randstr saved to window._tenDITicket and window._tenDIRandStr");
        }
    }, { ticket, randstr });

    await page.waitForTimeout(5000);
    await browser.close();
}

solveTenDIOnPage().catch(console.error);

Dostępna jest również możliwość testowania rozpoznawania captchy przy użyciu rozszerzenia przeglądarkowego CapMonster Cloud, które pozwala szybko sprawdzić działanie captchy bez pisania kodu — dostępne do instalacji w Chrome i Firefox.

Jak podłączyć TenDI (Tencent) CAPTCHA do swojej strony

Aby zrozumieć działanie captchy na stronie, logikę weryfikacji oraz ponownie podłączyć lub skonfigurować, zalecamy zapoznanie się z tym rozdziałem. Opisuje proces integracji ochrony, co pomaga szybko zrozumieć wszystkie szczegóły.

1. Zaloguj się lub utwórz nowe konto w Captcha Console.
2. Otwórz sekcję Verification Management.
3. Utwórz nową captchę (jeśli jeszcze nie istnieje).

Otrzymasz dwa parametry: CaptchaAppId i AppSecretKey. Będą używane na frontendzie i serwerze.

Przykład integracji frontendowej

Po kliknięciu pojawia się captcha, a po jej rozwiązaniu wynik wyświetlany jest w konsoli.


<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8" />
    <title>Captcha Example</title>

    // Wymagane ładowanie JS captchy
    <script src="https://ca.turing.captcha.qcloud.com/TJNCaptcha-global.js"></script>
</head>

<body>
    <div id="cap_iframe"></div>
    <button id="CaptchaId">Verification</button>

    <script>
        // Przetwarzanie wyniku
        function callback(res) {
            console.log("callback:", res);

            if (res.ret === 0) {
                // Weryfikacja zakończona sukcesem
                const text = `[randstr] ${res.randstr} | [ticket] ${res.ticket}`;

                const input = document.createElement("input");
                input.value = text;
                document.body.appendChild(input);
                input.select();
                document.execCommand("Copy");
                document.body.removeChild(input);

                alert("Ticket i randstr skopiowane do schowka.");
            }
        }

        // Obsługa błędów ładowania skryptu captchy
        function loadErrorCallback() {
            const appid = "CaptchaAppId";
            const ticket = `trerror_1001_${appid}_1771416539`;

            callback({
                ret: 0,
                randstr: "@" + Math.random().toString(36).slice(2),
                ticket,
                errorCode: 1001,
                errorMessage: "jsload_error",
            });
        }

        window.onload = function () {
            document.getElementById("CaptchaId").onclick = function () {
                try {
                    const captcha = new TencentCaptcha(
                        document.getElementById("cap_iframe"),
                        "Your CaptchaAppId",
                        callback,
                        {}
                    );

                    captcha.show();
                } catch (e) {
                    loadErrorCallback();
                }
            };
        };
    </script>
</body>
</html>

Jak działa integracja

Krok 1: Załaduj JS captchy

Skrypt musi być ładowany dynamicznie:

<script src="https://ca.turing.captcha.qcloud.com/TJNCaptcha-global.js"></script>

Nieprawidłowe lub pamiętanie w cache może spowodować niepoprawne działanie captchy.

Krok 2: Utwórz obiekt TencentCaptcha

Po załadowaniu JS pojawia się klasa globalna:

<script src="new TencentCaptcha(domElement, CaptchaAppId, callback, options);"></script>

Parametry:

domElement - Kontener, w którym umieszczony jest checkbox/iframe

CaptchaAppId - Twój ID

callback - Co zrobić po weryfikacji

options - Ustawienia wyglądu (opcjonalne)

Krok 3: Wywołaj metodę .show()

captcha.show();

Wyświetla captchę. Można wywoływać wielokrotnie.

Krok 4: Przetwarzanie wyniku

Callback otrzymuje obiekt:


{
  ret: 0,              // 0 -- sukces, 2 -- użytkownik zamknął okno
  ticket: "...",       // wymagane przez serwer
  randstr: "...",      // również wymagane przez serwer
  errorCode: 1001,     // jeśli captcha nie została załadowana
  errorMessage: "..."  // treść błędu
}

Na serwerze należy zawsze wykonać weryfikację ticket.

"Tryb awaryjny"

Jeśli captcha nie załaduje się (np. CDN niedostępny), można automatycznie wygenerować 'bilet awaryjny', aby nie przerywać procesu biznesowego.

Scenariusz:

Próba utworzenia captchy → błąd.
Wywołujemy loadErrorCallback().
Generujemy ticket w formacie:
```
trerror_<errorcode>_<appid>_<timestamp>
```
Kontynuujemy przetwarzanie normalnie, ale serwer widzi to jako ticket awaryjny i decyduje co zrobić.

Szyfrowanie AppId (opcjonalnie)

Jeśli wymagana jest maksymalna ochrona, można przesyłać do captchy zaszyfrowaną wersję AppId zamiast jawnej:

aidEncrypted = Base64(IV + AES256(AppId & timestamp & ttl))

Potrzebne:

Klucz 32-bajtowy (AppSecretKey → uzupełniany do 32 bajtów)
AES-256 CBC + PKCS7Padding
IV 16-bajtowy
timestamp i czas ważności w sekundach

Przykład szyfrowania po stronie serwera (Python)


from Crypto.Cipher import AES
from Crypto.Util.Padding import pad
import base64

def encrypt(plaintext, key, iv):
    cipher = AES.new(key, AES.MODE_CBC, iv)
    ciphertext = cipher.encrypt(pad(plaintext.encode(), AES.block_size))
    return base64.b64encode(iv + ciphertext).decode("utf-8")

Walidacja po stronie serwera

Krok 1. Konfiguracja dostępu do API

W panelu zarządzania kluczami (CAM / API Key Management) uzyskaj SecretId i SecretKey dla API. Klucze są potrzebne do podpisanych żądań.

Krok 2. Wywołanie API DescribeCaptchaResult

Po tym, jak klient zwróci ticket i randstr, serwer wysyła żądanie:

Action: DescribeCaptchaResult
Version: 2019-07-22 (lub aktualne)

Parametry:

CaptchaType - 9 (wartość stała)

Ticket - string — ticket zwrócony przez klienta

Randstr - string — randstr zwrócony przez klienta

CaptchaAppId - Twój AppId

AppSecretKey - Twój SecretKey

UserIp - IP użytkownika (zalecane)

Krok 3. Przetwarzanie odpowiedzi

API zwróci:

CaptchaCode: integer — wynik weryfikacji.
0 (lub OK) — captcha zaliczona, ticket ważny

Jeśli CaptchaCode === OK, można uznać, że użytkownik przeszedł weryfikację. W przeciwnym razie — odrzucić.

Przykład — weryfikacja ticket w Node.js


import { v20190722 as captcha } from "@tencentcloud/tencentcloud-sdk-nodejs";
const client = new captcha.Client({
  credential: {
    secretId: "YOUR_SECRET_ID",
    secretKey: "YOUR_SECRET_KEY"
  },
  region: "ap-project", // region, jeśli wymagany
});

async function verifyCaptcha(ticket, randstr, userIp) {
  const params = {
    CaptchaType: 9,
    Ticket: ticket,
    Randstr: randstr,
    CaptchaAppId: YOUR_APP_ID,
    AppSecretKey: "YOUR_APP_SECRET_KEY",
    UserIp: userIp
  };

  const resp = await client.DescribeCaptchaResult(params);
  const code = resp.Response.CaptchaCode;
  return code === 0;
}

Więcej informacji o podłączeniu Tencent CAPTCHA do swojej strony znajdziesz w oficjalnej dokumentacji.

Możliwe błędy i debugowanie

Captcha nie ładuje się

(Błędy 1001, 1002 lub komunikat o nieprawidłowym podpisie) — przyczyną mogą być nieprawidłowe parametry żądania. Upewnij się, że CaptchaAppId, AppSecretKey oraz wszystkie parametry żądania są podane poprawnie.

Nieprawidłowy lub pusty ticket/randstr

Upewnij się, że klient przesyła oba parametry poprawnie.

Limit czasu rozwiązania

Zwiększ czas oczekiwania po stronie serwera.

Sprawdzenie odporności ochrony

Po podłączeniu ważne jest, aby upewnić się, że ochrona działa poprawnie.

Spróbuj wysłać żądanie bez ticket i randstr — weryfikacja po stronie serwera powinna zwrócić błąd i odrzucić żądanie.

Przeprowadź testy obciążeniowe (np. przez k6 lub JMeter) przy 100–200+ żądań na sekundę — captcha powinna się nadal poprawnie inicjalizować, a backend obsługiwać weryfikacje stabilnie.

Sprawdź działanie przy wygasłym ticket — serwer powinien zwrócić błąd weryfikacji i odrzucić żądanie.

Sprawdź ponowne użycie ticket — oczekiwana odpowiedź: weryfikacja odrzucona.

Rekomendacje dotyczące bezpieczeństwa i optymalizacji

Przechowuj <b>AppSecretKey</b> tylko na serwerze, nie przesyłaj go do przeglądarki i nie umieszczaj w kodzie JS.

Przechowuj AppSecretKey tylko na serwerze, nie przesyłaj go do przeglądarki i nie umieszczaj w kodzie JS.

Loguj pełne odpowiedzi Tencent CAPTCHA, w tym kod błędu, czas żądania i parametry weryfikacji — pomoże to szybciej diagnozować problemy.

Loguj pełne odpowiedzi Tencent CAPTCHA, w tym kod błędu, czas żądania i parametry weryfikacji — pomoże to szybciej diagnozować problemy.

Używaj HTTPS przy przesyłaniu wszystkich parametrów <b>(ticket, randstr)</b>, aby uniknąć podszywania się.

Używaj HTTPS przy przesyłaniu wszystkich parametrów (ticket, randstr), aby uniknąć podszywania się.

Umieść na stronie poprawne linki do <b>Polityki prywatności</b> i <b>Warunków użytkowania Tencent</b>, zgodnie z licencją.

Umieść na stronie poprawne linki do Polityki prywatności i Warunków użytkowania Tencent, zgodnie z licencją.

Wnioski

Jeśli przejąłeś stronę internetową, na której jest już zainstalowany captcha lub inny system zabezpieczeń, a jednocześnie nie masz dostępu do kodu — to nic strasznego! Dość łatwo jest ustalić, jaka dokładnie technologia jest używana. Aby sprawdzić poprawność działania, możesz skorzystać z usługi rozpoznawania CapMonster Cloud w odizolowanym środowisku testowym, żeby upewnić się, że mechanizm przetwarzania tokenów i logika weryfikacji działają prawidłowo.

W przypadku TenDI (Tencent) wystarczy rozpoznać system, przeanalizować jego zachowanie i upewnić się, że zabezpieczenie działa poprawnie. W artykule pokazaliśmy, jak zidentyfikować TenDI (Tencent) oraz gdzie znaleźć instrukcje dotyczące jego podłączenia lub ponownej konfiguracji, aby móc pewnie utrzymywać ochronę i kontrolować jej działanie.

Przydatne linki

Dokumentacja TenDI (Tencent) CAPTCHA →

Dokumentacja CapMonster Cloud (praca z Tencent CAPTCHA) →

Czym jest Tencent Captcha (TenDI) i jak ją rozwiązać? →

Rozszerzenie CapMonster Cloud jest dostępne dla Chrome i Firefox. Pełną instrukcję instalacji i użycia znajdziesz tutaj.

TenDI (Tencent) CAPTCHA i CapMonster Cloud

Jak rozwiązać Tencent CAPTCHA przez CapMonster Cloud

TenDI (Tencent) CAPTCHA
i CapMonster Cloud